Saplo / Polityka prywatności
Polityka prywatności.
Jak przetwarzamy Twoje dane osobowe. Obowiązuje od 25 maja 2026 r.
1. Administrator danych
Administratorem danych osobowych jest SK Space Kamila Dominik, NIP 1231487221, z siedzibą przy Obory 20/17, 05-520 Konstancin-Jeziorna, prowadząca serwis pod marką Saplo. Kontakt w sprawach danych osobowych: rodo@saplo.pl.
2. Zakres przetwarzanych danych
- Dane konta — imię, nazwisko, adres e-mail, hasło (w formie zaszyfrowanej).
- Dane rozliczeniowe — nazwa, NIP, adres (do faktury VAT).
- Dane abonenta domeny — imię i nazwisko, PESEL/NIP, adres, telefon (wymagane przez rejestry domen, np. NASK).
- Dane techniczne — adres IP, identyfikator przeglądarki, logi serwera (przechowywane maksymalnie 30 dni).
- Dane płatnicze — przetwarzane wyłącznie przez operatora płatności imoje (ING Bank Śląski S.A.); Saplo nie przechowuje numerów kart ani danych logowania do banku. Saldo Portfela prepaid przechowujemy w bazie danych w postaci jawnej kwoty w PLN.
- Treść skrzynek pocztowych — jeśli Klient korzysta z addona „dodatkowa skrzynka pocztowa", treść maili (nagłówki, body, załączniki) jest przechowywana na serwerach Mailcow w Falkenstein zgodnie z polityką retencji wybraną przez Klienta. Po wygaśnięciu addona zawartość archiwizowana na 30 dni (§7.6 Regulaminu), następnie trwale kasowana.
- Logi audytowe API i MCP — w przypadku korzystania z API REST lub serwera MCP rejestrujemy: timestamp, identyfikator tokenu, metodę, ścieżkę, status odpowiedzi oraz dla akcji destrukcyjnych (delete, drop, rollback) - argumenty. Retencja 12 miesięcy.
- Dane aplikacji Klienta — kod źródłowy, pliki, bazy danych aplikacji deploy'owanych przez Klienta na Saplo - przetwarzane jako powierzone, wyłącznie w celu świadczenia usługi hostingowej.
3. Cele i podstawy prawne przetwarzania
Dane przetwarzamy w następujących celach:
- świadczenie usługi i wykonanie umowy — art. 6 ust. 1 lit. b RODO;
- rejestracja i utrzymanie domeny w rejestrze — art. 6 ust. 1 lit. b i c RODO;
- wystawianie faktur i prowadzenie ksiąg podatkowych — art. 6 ust. 1 lit. c RODO;
- rozpatrywanie reklamacji — art. 6 ust. 1 lit. b i f RODO;
- zapewnienie bezpieczeństwa infrastruktury — art. 6 ust. 1 lit. f RODO (uzasadniony interes);
- marketing własnych usług — art. 6 ust. 1 lit. f RODO, a w przypadku newslettera — art. 6 ust. 1 lit. a (zgoda).
4. Odbiorcy danych
Dane mogą być powierzane następującym podmiotom przetwarzającym, na podstawie umów powierzenia:
- ING Bank Śląski S.A. (imoje) — obsługa płatności;
- Hetzner Online GmbH (Niemcy) — infrastruktura centrum danych, ISO 27001;
- Cloudflare, Inc. — DNS, ochrona przed atakami, CDN;
- akredytowany rejestrator domen — rejestracja domen w rejestrach (NASK, EURid i in.);
- biuro rachunkowe — w zakresie rozliczeń podatkowych.
Dane nie są przekazywane poza Europejski Obszar Gospodarczy bez zapewnienia odpowiednich zabezpieczeń (standardowe klauzule umowne).
5. Okres przechowywania danych
- dane konta — przez czas trwania umowy oraz do czasu przedawnienia roszczeń (zwykle 6 lat);
- dane rozliczeniowe i faktury — 5 lat od końca roku podatkowego (wymóg ustawowy);
- transakcje Portfela — przez czas trwania konta oraz 5 lat po jego zamknięciu (audyt podatkowy);
- logi techniczne (web, serwer) — maksymalnie 30 dni;
- logi audytowe API i MCP — 12 miesięcy;
- archiwum mailbox po wygaśnięciu addona — 30 dni od deprovisioningu, następnie trwale kasowane;
- snapshoty aplikacji — migawki kontenera tworzone na żądanie przez Klienta, przechowywane na serwerze do czasu ich usunięcia przez Klienta (do 10 na aplikację);
- dane przetwarzane na podstawie zgody — do czasu jej wycofania.
6. Twoje prawa
W związku z przetwarzaniem danych przysługuje Ci prawo do:
- dostępu do danych oraz uzyskania ich kopii;
- sprostowania (poprawienia) danych;
- usunięcia danych („prawo do bycia zapomnianym");
- ograniczenia przetwarzania;
- przenoszenia danych;
- wniesienia sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie;
- wycofania zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania przed jej wycofaniem).
Żądania realizujemy pod adresem rodo@saplo.pl. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
7. Profilowanie i decyzje automatyczne
Nie podejmujemy wobec Ciebie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne.
8. Pliki cookies
Serwis wykorzystuje pliki cookies. Stosujemy cookies niezbędne do działania (sesja, ochrona CSRF) oraz — za Twoją zgodą — anonimową statystykę odwiedzin. Szczegóły opisuje Polityka cookies.
9. Bezpieczeństwo
Stosujemy środki techniczne i organizacyjne zapewniające ochronę danych: szyfrowanie połączeń (TLS), izolację kontenerów, kontrolę dostępu, regularne kopie zapasowe oraz monitoring bezpieczeństwa.
10. Powierzenie danych Klienta (procesor)
10.1. W zakresie danych osobowych przetwarzanych przez Klienta w ramach aplikacji hostowanych w Saplo (np. dane użytkowników strony Klienta) Saplo działa jako podmiot przetwarzający (procesor) w rozumieniu art. 28 RODO, na podstawie zawartej umowy hostingowej (Regulamin pełni funkcję umowy powierzenia w zakresie podstawowym; rozszerzona umowa DPA dostępna na żądanie pod rodo@saplo.pl).
10.2. Saplo przetwarza powierzone dane wyłącznie w celu świadczenia usługi hostingowej, stosuje środki bezpieczeństwa opisane w pkt 9, nie wykorzystuje powierzonych danych do własnych celów ani nie przekazuje ich osobom trzecim poza wskazanymi w pkt 4.
11. Asystenci AI i automatyzacja
11.1. Klient może udostępnić swój token API serwerowi MCP integrującemu się z asystentami AI (np. Claude Code, Claude Desktop). W takim przypadku asystent AI uzyskuje dostęp do danych Klienta widocznych przez API w zakresie scope'ów tokenu.
11.2. Klient odpowiada za wybór asystenta AI i zakres uprawnień tokenu. Saplo nie udostępnia danych Klienta dostawcom modeli AI w sposób inny niż przez API uruchamiane jawnie przez Klienta.
11.3. Wszystkie wywołania API i MCP są logowane (pkt 2, pkt 5 retencja 12 mies.) wraz z identyfikatorem tokenu. W razie podejrzenia naruszenia Klient powinien niezwłocznie odwołać token w Panelu.
12. Zmiany polityki
Polityka może być aktualizowana. O istotnych zmianach poinformujemy drogą elektroniczną z 14-dniowym wyprzedzeniem. Aktualna wersja zawsze dostępna jest pod adresem saplo.pl/polityka-prywatnosci.
13. Kontakt
Pytania dotyczące prywatności i danych osobowych: rodo@saplo.pl. Inspektor Ochrony Danych (IOD): nie został powołany (obowiązek nie dotyczy działalności Usługodawcy w obecnej skali).